Windows 11 et TPM 2.0 : c’est quoi ? À quoi ça sert ? Est-il nécessaire ? Comment l’activer ?

On ne parle pas de TPMP hein...

 
Depuis l’annonce de Windows 11, la mention d’une puce TPM obligatoire faire grincer beaucoup de dents. Mais qu’est-ce qu’une puce TPM ? Comment vérifier si notre PC est conforme ? Comme l’activer sinon ? Voyons ça dans ce dossier.
Une carte mère
Une carte mère pour illustration // Source : Photo de Living Smarter sur Unsplash

Le lancement de Windows 11 par Microsoft a fait beaucoup réagir. Au centre des crispations, la question de la configuration minimale pour pouvoir installer Windows 11 sur sa machine. Il y a comme un sentiment de panique qui s’est emparé des utilisateurs depuis que l’outil mis en place par Microsoft indique que des PC, pourtant récents, ne sont pas compatibles. La faute au TPM.

Le Trusted Platform Module

Le TPM, ou Trusted Plateform Module, n’est pas une nouvelle technologie. C’est tout simplement le nom d’un standard de sécurité, un cahier des charges, qui prend la forme d’une puce présente sur beaucoup d’ordinateurs. Cette puce est responsable du chiffrement des données de votre machine. C’est elle qui va générer les clés de chiffrement, les stocker et faire les calculs de signatures ou de hachage entre autres.

Le standard TPM // Source : Eusebius (Guillaume Piolle)

C’est exactement le même principe que la « secure enclave » utilisé par Apple pour stocker les données Apple Pay sur un iPhone, ou le Titan M des Google Pixel. Comme souvent pour la sécurité informatique, le TPM était utilisé par les entreprises et les professionnels, mais est devenu une technologie plus grand public avec le temps. Depuis 2015, Microsoft exige que les PC commercialisés avec Windows 10 soient compatibles TPM 2.0.

À quoi ça sert concrètement ?

La puce TPM permet d’activer Bitlocker sous Windows et de chiffrer les données de son stockage interne. Si une personne vole votre disque dur sans l’accès à votre session Windows, elle ne pourra pas accéder aux données chiffrées présentes sur le stockage, que ce soit un disque dur ou un SSD.

Le TPM est-il vraiment nécessaire pour Windows 11 ?

Microsoft est claire : le PC doit avoir TPM 2.0 activé pour installer Windows 11 et garder le support officiel des futures mises à jour de sécurité et de fonctionnalités. Il est possible d’installer Windows 11 en ignorant cette contrainte, mais la méthode n’est pas recommandée.

Mon PC est-il compatible TPM ?

Windows intègre un utilitaire très simple pour vérifier l’état d’activation ou de compatibilité avec TPM sur son PC. Voici comment le démarrer.

  • Appuyez sur la touche Windows du clavier
  • Tapez « tpm.msc » au clavier
  • Validez le lancement de l’utilitaire trouvé

Si votre TPM est bien utilisé, comme c’est le cas sur notre machine, l’utilitaire va vous donner la version de la spécification utilisée. Dans notre cas, c’est la version 2.0. Si le TPM n’est pas activé sur votre machine, l’utilitaire va afficher le message « Module de plateforme sécurisée compatible introuvable ».

Votre TPM est peut-être désactivé

Depuis plusieurs années, les processeurs AMD et Intel intègrent directement les fonctions d’un TPM. Il est cependant parfois nécessaire de passer par le BIOS, ou UEFI, pour activer le paramètre. En particulier sur les PC fixes.

https://twitter.com/dwizzzleMSFT/status/1408423860848889861

D’après le directeur de la sécurité chez Microsoft, tous les processeurs commercialisés depuis 5 à 7 ans intègrent le TPM.

Pensez à mettre à jour votre BIOS UEFI

Certains fabricants de carte mère ont décidés de prendre les choses en main. C’est notamment le cas d’Asus qui propose une mise à jour de l’UEFI qui va permettre d’activer automatiquement le TPM 2.0 sur les produits compatibles. Ainsi, Windows 11 sera tout simplement prêt à être installé.

Source : ASUS

Évidemment, le problème n’est pas totalement résolu, car il faut savoir mettre à jour l’UEFI de sa carte mère.

Comment activer le TPM : fTPM chez AMD, PTT chez Intel

L’activation du TPM 2.0 est une opération relativement simple, mais elle demande de toucher aux paramètres BIOS ou UEFI. C’est donc une opération réservée aux utilisateurs avancés. N’hésitez pas à demander conseil autour de vous pour ne prendre aucun risque.

Accéder aux paramètres UEFI de la machine

Pour accéder aux paramètres UEFI / BIOS, le plus simple est de passer par Windows :

  • maintenez la touche MAJ (shift)
    • avec la souris, cliquez sur le bouton démarrer puis choisissez de redémarrer le PC
  • avec la souris, cliquez sur le bouton démarrer puis choisissez de redémarrer le PC
  • quand le texte indique « patientez » à la place de « veuillez patienter », vous pouvez relâcher la touche maj.
  • choisissez « dépannage »
  • choisissez « options avancées »
  • choisissez « changer les paramètres du microprogramme UEFI »

Votre PC va alors redémarrer et accéder tout seul aux paramètres UEFI.

Configurer l’UEFI pour activer le TPM

Il faut désormais trouver l’option à activer. Cela dépend du fabricant de votre PC ou de votre carte mère et il est donc difficile de rédiger un guide pour cette étape. Vous cherchez à activer la fonction Intel PTT ou AMD fTPM selon la marque du processeur.

Sur notre PC MSI avec processeur Intel, il fallait activer les options avancées de l’UEFI, puis aller chercher dans les options de sécurité, à la rubrique « Trusted Computing ». On peut voir que le « Security Device Support » est désactivé. Il faut l’activer. La sélection de l’appareil TPM sur « PTT » nous indique que nous sommes bien dans le bon menu.

Sur une machine Gigabyte avec processeur AMD, nous sommes allés dans le menu « Peripherals » pour trouver l’option en rapport avec AMD fTPM. Là, nous avons une nouvelle fois activé l’option « Security Device Support ».

Il suffit ensuite de sauvegarder les paramètres. Retournez à notre étape « Mon PC est-il compatible TPM ? » une fois sous Windows pour vérifier que l’activation a bien fonctionné.